Freigeben über

Anpassen der Ergebnisse im KQL-Abfrageset-Ergebnisraster

  • Artikel

Verwenden Sie das Ergebnisraster im KQL-Abfrageset, um Ergebnisse anzupassen und weitere Analysen zu Ihren Daten durchzuführen. In diesem Artikel werden Aktionen beschrieben, die im Ergebnisraster ausgeführt werden können, nachdem eine Abfrage ausgeführt wurde.

Voraussetzungen

Erweitern einer Zelle

Das Erweitern von Zellen ist nützlich, um lange Zeichenfolgen oder dynamische Felder wie JSON anzuzeigen.

  1. Doppelklicken Sie auf eine Zelle, um eine erweiterte Ansicht zu öffnen. Mit dieser Ansicht können Sie lange Zeichenfolgen lesen und eine JSON-Formatierung für dynamische Daten bieten.

    Screenshot des KQL-Abfragesets mit den Ergebnissen einer Abfrage mit einer erweiterten Zelle, um lange Zeichenfolgen anzuzeigen. Die erweiterte Zelle ist hervorgehoben.

  2. Wählen Sie oben rechts im Ergebnisraster das Symbol aus, um den Lesebereichsmodus zu wechseln. Wählen Sie zwischen den folgenden Lesebereichsmodi für die erweiterte Ansicht: inline, unten und rechts.

    Screenshot des KQL Queryset-Ergebnisbereichs mit der Option zum Ändern des Ansichtsmodus des Abfrageergebnisbereichs.

Erweitern einer Zeile

Erweitern Sie beim Arbeiten mit einer Tabelle mit vielen Spalten die gesamte Zeile, um einen Überblick über die verschiedenen Spalten und deren Inhalt leicht zu sehen.

  1. Klicken Sie auf den Pfeil > links neben der Zeile, die Sie erweitern möchten.

    Screenshot des KQL Queryset-Ergebnisbereichs mit einer erweiterten Zeile.

  2. Innerhalb der erweiterten Zeile werden einige Spalten erweitert (Pfeil nach unten) und einige Spalten werden reduziert (Pfeil nach rechts). Klicken Sie auf diese Pfeile, um zwischen diesen beiden Modi zu wechseln.

Gruppieren von Spalten nach Ergebnissen

Innerhalb der Ergebnisse können Sie Ergebnisse nach jeder Spalte gruppieren.

  1. Führen Sie die folgende Abfrage aus:

    StormEvents
| sort by StartTime desc
| take 10

  2. Zeigen Sie mit dem Mauszeiger auf die Spalte Status, klicken Sie auf das Menü, und wählen Sie dann Nach Status gruppieren aus.

    Screenshot des KQL-Abfrageset-Ergebnisbereichs mit dem Menü der Spalte

  3. Doppelklicken Sie im Raster auf California, um die Datensätze für diesen Bundesstaat zu erweitern und anzuzeigen. Diese Art von Gruppierung kann bei der explorativen Analyse hilfreich sein.

    Screenshot eines Abfrageergebnisrasters, in dem die Gruppe

  4. Zeigen Sie mit dem Mauszeiger auf die Spalte Gruppieren, und klicken Sie dann auf Spalten zurücksetzen/Gruppierung aufheben nach <Spaltenname>. Diese Einstellung gibt das Raster in den ursprünglichen Zustand zurück.

    Screenshot: Einstellung zum Zurücksetzen von Spalten, die im Spaltendropdownmenü hervorgehoben ist

Leere Spalten ausblenden

Sie können leere Spalten durch Umschalten des Augensymbols im Ergebnisrastermenü ausblenden bzw. anzeigen.

Screenshot des KQL-Abfrageset-Ergebnisbereichs. Das Augensymbol zum Ausblenden und Anzeigen leerer Spalten im Ergebnisbereich ist hervorgehoben.

Filtern von Spalten

Sie können einen oder mehrere Operatoren verwenden, um die Ergebnisse einer Spalte zu filtern.

  1. Um eine bestimmte Spalte zu filtern, wählen Sie das Menü für diese Spalte aus.

  2. Wählen Sie das Filtersymbol aus.

  3. Wählen Sie im Filter-Generator den gewünschten Operator aus.

  4. Geben Sie den Ausdruck ein, mit dem Sie die Spalte filtern möchten. Die Ergebnisse werden während der Eingabe gefiltert.

    Anmerkung

    Der Filter ist nicht case-sensitive.

  5. Um einen Mehrbedingungsfilter zu erstellen, wählen Sie einen booleschen Operator aus, um eine weitere Bedingung hinzuzufügen.

  6. Um den Filter zu entfernen, löschen Sie den Text aus der ersten Filterbedingung.

Ausführen von Zellstatistiken

  1. Führen Sie die folgende Abfrage aus.

    StormEvents
| sort by StartTime desc
| where DamageProperty > 5000
| project StartTime, State, EventType, DamageProperty, Source
| take 10

  2. Wählen Sie im Ergebnisbereich einige der numerischen Zellen aus. Mit dem Tabellenraster können Sie mehrere Zeilen, Spalten und Zellen auswählen und Aggregationen berechnen. Die folgenden Funktionen werden für numerische Werte unterstützt: Average, Count, Min, Maxund Summe.

    Screenshot des KQL-Abfrageergebnissebereichs mit einigen numerischen Zellen, die ausgewählt sind. Das Ergebnis der Auswahl zeigt eine berechnete Aggregation dieser Zellen.

Filter für das Abfragen über das Raster

Eine weitere einfache Möglichkeit zum Filtern des Rasters besteht darin, der Abfrage direkt aus dem Raster einen Filteroperator hinzuzufügen.

  1. Wählen Sie eine Zelle mit Inhalten aus, für die Sie einen Abfragefilter erstellen möchten.

  2. Klicken Sie mit der rechten Maustaste, um das Menü "Zellenaktionen" zu öffnen. Wählen Sie Auswahl als Filter hinzufügen aus.

    Screenshot einer Dropdownliste mit der Option

  3. Eine Abfrageklausel wird Ihrer Abfrage im Abfrage-Editor hinzugefügt:

    Screenshot des Abfrage-Editors mit einer Abfrageklausel, die durch das Filtern im Raster des KQL Querysets hinzugefügt wurde.

Pivotieren

Die Pivotmodus-Funktion ist der Pivot-Tabelle in Excel ähnlich, sodass Sie erweiterte Analysen direkt im Gitter durchführen können.

Mit der Pivotierung können Sie den Wert einer Spalte übernehmen und sie in Spalten umwandeln. Sie können beispielsweise auf State pivotieren, um Spalten für Florida, Missouri, Alabama usw. zu erstellen.

  1. Wählen Sie auf der rechten Seite des Rasters Spalten aus, um den Tabellentoolbereich anzuzeigen.

    Screenshot, der zeigt, wie auf die Pivotmodus-Funktion zugegriffen wird.

  2. Wählen Sie Pivot-Modus aus, und ziehen Sie die Spalten wie folgt: EventType nach Zeilengruppen, DamageProperty nach Werte und State nach Spaltenbeschriftungen.

    Der Screenshot hebt die ausgewählten Spaltennamen hervor, um die PivotTable zu erstellen.

    Das Ergebnis sollte wie die folgende Pivot-Tabelle aussehen.

    Screenshot der Ergebnisse in einer Pivot-Tabelle.

Suchen im Ergebnisraster

Sie können in einer Ergebnistabelle nach einem bestimmten Ausdruck suchen.

  1. Führen Sie die folgende Abfrage aus:

    StormEvents
| where DamageProperty > 5000
| take 1000

  2. Wählen Sie auf der rechten Seite die Schaltfläche Suchen aus, und geben Sie "Wabash" ein.

    Screenshot des Abfrageergebnisbereichs, der die Suchoption in der Tabelle hervorhebt.

  3. Alle Erwähnungen Ihres durchsuchten Ausdrucks sind jetzt in der Tabelle hervorgehoben. Sie können zwischen ihnen navigieren, indem Sie EINGABETASTE drücken, um nach vorne zu gehen, oder UMSCHALT+EINGABETASTE, um zurückzugehen, oder Sie können die Nach-oben- und Nach-unten-Tasten neben dem Suchfeld verwenden.

    Screenshot einer Tabelle mit hervorgehobenen Ausdrücken aus Suchergebnissen.

Verwandte Inhalte